ФЗ-152 «О персональных данных» существенно изменен

В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года.
Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв  отдельную  статью 10.1 об особенностях обработки персональных данных при их распространении.
В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».
Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это  означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они  самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.
Законом определены 2 случая предоставления согласия:
- непосредственно от субъекта (работника/гражданина/клиента)
- с использованием информационной системы Роскомнадзора.
Надеемся, что в ближайшие недели мы  получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.
Закон запрещает используемый  сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн  по умолчанию или бездействию человека. Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают  многие операторы в своих согласиях. Сегодня у гражданина  часто не остается выбора и он вынужден подписывать такие согласия.
Для оператора законом определен 3-х дневный срок  прекращения  обработки персональных данных при обращении субъекта персональных данных.
Организация в 3-х дневный срок с момента получения согласия обязана  опубликовать  информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных